Datenverschlüsselung

(Last Updated On: 5. Mai 2015)

grundsätzlich muss man bei der Datenverschlüsselung zwei Arten von Verschlüsselungstools unterscheiden zwischen einer Betriebssystem-Verschlüsselung/Partitionsverschlüsselung und einer Dateiverschlüsselung.

Bei einer Dateiverschlüsselung verschlüsseln Sie Dateien und Ordner, die auf einem Datenträger liegen. Diese Dateien können Sie rechner- und betriebssystemunabhängig auf jedem anderen Gerät, unter dem das Entschülsselungstool lauffähig ist, wieder entschlüsseln-  und nach einer Änderung auch wieder beliebig neu verschlüsseln. Eien Dateiverschlüsselung bietet sich an, wenn nur ein geringer Bruchteil der Daten auf einer Datenpartition wirklich vertrauenswürdig ist und es ein totaler Overkill wäre, eine gesamte Datenpartition zu verschlüsseln. DAmit kann man Ressourcen sparen. Desweiteren ist es bei Dateiverschlüsselung möglich, auch bei einem laufenden Systemn, wo die Daten ja unverschlüsselt vorgehalten werden, damit Sie im laufenden Betrieb geleesen und bearbeitet werden können, immer noch einen teil der Daten verschlüsselt zu halten. Bei einem laufenden System wären nämlich grundsätzlich alle Daten durch den derzeit angemeldeten Benutzer lesbar. Wenn Sie jedoch einzelne Dateien extra verschlüsselt haben, muss der derzeit angemeldete Benutzer diese Daten nochmal extra durch ein Passwort entschlüsseln lassen, bevor er mit Ihnen arbeiten kann. Das verschafft zusätzliche sicherheit. Eine Dateiverschlüsselung eignet sich auch dazu, um Dateien im verschlüsselten Zustand zum Download anzubieten und den Usern dann über einen sicheren Weg das Passwort zur Entschlüsselung mitzuteilen.

Bei einer Betriebssystemverschlüsselung werden nicht einzelne Dateien und Ordner, sondern gesamte Datenpartitionen auf einem Datenträger verschlüsselt. Das bedeutet: nicht nur die Daten, sondern auch das darunterliegende Betriebssystem wird verschlüsselt. Das bringt etwas mehr Sicherheit zum preis von Flexiblität. Eine Betriebssystemverschlüsselung schützt Sie davor, dass jemand vertrauenswürdige Daten liest, wenn das System offline ist – also wenn er beispielsweise die festplatte ausbaut, stiehlt und bei seinem eigenen System anschließt. Jetzt werden sie vielleicht sagen: Ja aber wenn die einzelnen vertrauenswürdigen Daten selber verschlüsselt sind, kann er die Dateien doch eh nicht lesen? Ja, das schon. Sie können aber nicht garantieren, dass wenn Sie die Dateien zum bearbetien oder Lesen kurzzeitig entschlüsseln, es keine Kopie dieser Daten im klartext irgendwo auf der Festplatte des Systems gibt. Wenn Sie beispieslweise eine verschlüsselte Word-Datei kurz entschlüsseln, um sie zu bearbeiten, kann es sein, dass von dieser Word-Datei eine Kopie im TEmp-Ordner des Betriebssystems existiert. diese kopie könnte dann ein Angreifer theoretisch lesen, wenn er die Festplatte entwendet.

Dateiverschlüsselung

Dateiverschlüsselung ist für foglendes da: Während Sie ihr betriebssystem nutzen dringt ein Hacker über eine Sicherheitslücke in ihr System ein und liest die dort abgelegten Dateien – oder kopiert sie sich sogar über das Internet. Oder Sie haben eine Malware / einen Trojaner auf dem PC, der Dateien ausliest und analysiert oder an seinen Besitzer versendet. Die Verschlüsselung verhindert, dass der Angreifer oder die malware die datei im kalrtext lesen kann. er hat zwar die Datei, kann jedoch nichts mit den informationen anfangen, da sie verschlüsselt vorliegen.

Damit man die Dateien lesen kann, müssen sie vorher entschlüsselt werden. Das msüsen Sei entweder als nutzer der Dateien vorher manuell machen – oder es geschieht automatisch vom Betriebssystem, wenn Sie die Datei öffnen. Die erste Varainte ist sicherer und verlangt meist die eingabe eines Passwortes. Die zweite Varainte ist zwar bequemer, verlangt jedoch nur, dass ein Zertifikat installiert ist, anstatt die Eingabe eines Passwortes. Zur installation des Zeritfikats braucht man zwar wiederum ein Passwort – ist das Zertifikat jedoch installiert und der Eindringling befindet sich mit dem berechtigten Benutzerkonto bereits auf ihrem Rechner, kann er die Dateien trotzdem lesen.

EFS

EFS steht für Encrypting file System und ist ein alter Standard von Windows, um Datenträger zu verschlüsseln. diese Option war jedoch nicht praktikabel, da es bei EFS nicht möglich ist, die Daten auf anderen PCs wiederherzustellen als auf dem, unter dem die Daten verschlüsselt wurden. Und nicht nur von eienm fremden PC geht es nicht mehr, sondern auch nach einer Neuinstallation des Betriebssytems. Denn: die Verschlüsselung setzt auf die windows-internen Benutzerkonten auf, die lokal auf der Windows-installationf estgelegt sind.  Desweiteren funktioniert EFS nur auf NTFS-formatierten Datenträgern.

Desweiteren verschlüsselt EFS nur Dateien und Ordner – keine ganzen Datenträger. Eine Pre-Boot-Authentification ist also nicht möglich. Und: es werden nur die inhalte der Dateien verschlüsselt. die Dateinmane sind weiterhin sichtbar. Kann man ihnen nachweisen, dass bestimmte Dateien existieren, müssen sie in bestimmten Ländern per gesetz eventuell das Passwort dafür herausrücken.

die Entschlüsselung und Verschlüsselung funktioniert automatisch. Das heißt: wenn sie mit einem Benutzerkonto angemeldet sind, welches die Datei öffnen kann, wird diese beim Öffnen auatomatisch entschlüsselt und beim erneuten Speichern automatisch entschlüsselt.

Vor was schützt also die EFs-Verschlüsselung? die EFs-Verschlüsselung schützt vor zwei Sachen:

  • jemand baut die Festplatte oder den Datenträger aus und schließt ihn an einen fremden PC an – die Daten können nicht gelesen werden, sofern sich der Fremde nicht mit dem berechtigten Windows-Benutzer einloggen kann. Baut der nutzer hingegen die Festplatte aus, bootet das windows-Betriebssystem und kennt ihr windows-Passwort des berechtigten Benutzers,kann es unter Umständen gehen. Er kann jedoch nicht mit einem fremden Betriebssystem auf die Daten zugreifen.
  • jemand legt eine Live-CD wie etwa die Hirens Boot Disk ein und resettet das Windows-Passwort des Systemadministrators. Damit loggt er sich als Administrator ein.  Er kann jedoch nicht auf die Daten zurgeifen, die verschlüselt wurden, selbst wenn er das Passwort eines berechtigten Benutzers ändert und sich damit einloggt.
  • ein PC wird von mehreren Benutzern genutzt. Sie verhindern, dass andere windows-Benutzer ihre daten lesen könne, selbst dann, wenn sie auf NTFs-Ebene zugriff darauf haben.
  • sie nutzen einen PC, auf dem Sie selbst nicht Admnistrator sind und wollen aber nicht, dass der Administrator Ihre Daten sehen kann.

EFSm schützt nicht vor:

  • jemanden, der ihr windows-Benutzerpasswort weiß und sich daher in den Account einloggen kann, der zur Entschlüselung berechtigt ist.
  • Wenn Sie kurz aufstehen, ohne ihre windows-Sitzung zu sperren, und sich jemand anders an den Rechner sitzt. Da der berechtigte benutzer angemeldet ist, kann er die Daten ohne Probleme lesen.
  • Malware, die sich installiert und dann unter ihrem Windows-benutzernamen ausgeführt wird. Die amlware kann dann die daten ganz normal lesen und beispielsweise an einen Hacker per Mail schicken, da der berechtige Bneutzer ja bereits angemeldet ist.

EFs kann desweiteren nicht:

  • Daten verschlüsseln auf Datenträgern, die mit einem anderen DAteisystem als NTFs formatiert sind
  • Daten auf mobilen Datenträgern verschülsseln,d ie von Benutzer zu Benutzer weitergereicht werden
  • Daten verschlüsseln, die beispielsweise über das LAN oder das Internet zwischen zwei Benutzern ausgetauscht werden.

EFs kostet außerdem im laufenden Betrieb Performance, da bei jeder Operation mit den verschülsselten Dateien Ent- und Verschlüsselungsvorgänge stattfinden, die automatisch durch das Betriebssystem gestartet werden und vom Benutzer nicht beeinflusst werden können.

Aufgrund dessen sparen wir uns das ganze und gehen auf EFS auch nicht weiter ein.

Advanced File Security

Bei Advanced file Security müssen Sie Dateien manuell ver- und entschlüsseln. Das heißt, es wird jedesmal ein Passwort verlangt. Das hat den Vorteil, dass eine Malware oder ein Angreifer, die mit ihrem Benutzerkonto angemeldet sind, trotzdem das Passwort kennen müssen, um die Datei lesen zu können.

Nach der installation rechtsklicken Sie einfach auf Dateien oder Ordner, die sie verschlüsseln wollen und wählen Advanced file Security 3 / verschlüsselni. Neben der unverschlüsselten Quelldatei bekommen Sie nun eine verschlüsselte version der datei, die sie ab sofort nur noch mit dem Programm Advanced file Security in der selben Version öffnen können. diese Datei ist einfach nur eine verschlüsselte version mit andere Dateinendung. Überlegen Sie sich also gut, ob Sie die unversclüsselte Quelldatei löschen möchten. Denn wenn es das Programm mal nicht mehr zum download gibt und sie keine Kopie davon mehr haben, können Sie die dateien nicht mehr entschlüsseln.

AxCrypt und Sophos free Encryption

AxCrypt bietet zum einen die selbe funktionalität wie das weiter oben bereits behandelte Advanced file Security. Das heißt es wird wieder eine verschlüsselte version der Dateien erstellt, die jedes mal manuell mit der selben Programmversionw ieder entschlüsselt werden köpnnen.

Vorteil bei AxCrypt: sie können aber auch die option wählen, dass Sie eine Datei als .exe verschlüsseln. In dieser variatne müssen Sie axcrypt nicht mehr installieren, um die Datei später wieder zu entschlüsseln, da das Programm in der .exe integriert ist. soalgne Sie die .exe behalten, können Sie die Dateien immer entschlüsseln, auch wenn es Axcrypt mal nicht mehr zum downloaden gibt oder sie das Programm selber mal nicht mehr isntallieren können. jedoch msus die .exe-Datei auf ihrem betriebssystem aluffähig sein. Das heißt auf einem Linux-Betriebssystem können Sie die Dateien nicht entschülsseln. Es ist außerdem fraglich, ob künftige windows-Versioenn axcrypt weiterhin unterstützen – und ob die damti erstellte .exe-Datei auf neueren Windows-Versionen noch läuft.

eine Alternative zu Axcrypt ist weiterhin Sophos Free Encryption. mit diesem Tool können Sie ebenfalls Dateien enwteder in Verbindung mit dem Tool oder alleinstehend als .exe-Datei verschlüsseln. Auch diese container lassne sich ejdoch nicht unter Linux entschlüsseln.

ich persönlich kann jedoch diese verschlüsselungslösungen wie axcrypt jedoch nicht empfehlen. axcrypt verschülsselt die Daten genau wie das packprogramm WinRar lediglich mit AES-128. Sogar der packer 7zip ist da mit ASES-256 besser – und bei 7zip kann man sich sicher sein, dass man dessen verschülsselte dateien auch unter Linux und vor allem zukunftssicher entschlüsseln kann. desweiteren fügt ihnen axcrypt adware hinzu.

sophos free encryption versclüsselt zwar wie 7zip in AES-256, aber auch hier gibt es keinen Grund, warum man das tool gegenüber 7zip vorziehen sollte, da es auch hier

Archivierungs- und Packprogramme

Packerprogramme sind, wenn man die guten verwendet, spogar besser als die weiter oben vorgestellten verschlüsselungsprogramme.

Nutzen sie aber unbedingt ein professionelles Packprogramm wie WinRar oder winZip. Einige packprogramme verschlüsseln die Daten, die sie mit einem Passwort schützen, nämlich nicht, sondern setzen nur ein Flag, dass diese passwortgeschützt sind und speichern das Passwort im Header der Archivdatei. Das bedeutet aber, dass jemand, der die daten mit einem Hexeditor betrachtet, die Daten trotzdem auslesen kann.

Wenn Sie nun einen Packer verwenden wollen, sollten Sie bevorzugt 7zpi verwenden. Dieser verschlüsselt mit AES-256. WinRar verschlüsselt nurmit AES-128.

Swoohl 7zpi als auch Winrar sind genau so sicher wie die oben erwähnten verschülsselungstools und haben dabei noch den Vorteil, dass sie unter allen gängigen betriebssystemen entpackt und entschlüsselt werden können.

Es gibt diverse Entschlüsselungstools für beide Packer. Das berühmteste Tool ist das Jpassword Recovery tool. Andere Derivate sind 7z Cracker oder crark. Diese Tools sind aber nicht wirklich Crakcing-Tools. Das bedeutet, sie nutzen nicht irgendeine lücke im verschülsselungsalgorithmus von winrar oder 7zip, sondern sie versuchen, das passwort über brute force bzw. wörterbuchattacken zu erraten. Das kann ihnen bei JEDER Verschülsselung passieren. Was Sie tun müssen, ist, eins icheres Passwort mit einer Mischung von Groß-, Kleinbuchstbaen, Zahlen und sonderzeifchen mit minimum 20 Zeichen länge zu wählen. Dann brauchen diese Cracking-Tools auch bei einem per 7zip-versclüsselten Container lange. Und zwar so lange, dass die Dokumente von einem normalen Hacker und amlware-lösungen, der von zu Hause aus / auf ihrem infizierten Computer arbeitet – ohne große Botnetze oder Serveranlagen im Hintergrund – die Dateien nicht mehr zu Ihren Lebzeiten knacken können wird.

Es ist also durchaus legitim, seine Dateien mit normalen Packprogrammen zu verschlüsseln. Dabei sollten Sie wie bereits erwähnt 7zip bevorzugen, da jhier der verschlüsselungsalgorithmus etwas stärker ist.

Der vorteil bei Packprogrammen ist, dass man bei ihnen recht sicher sein kann, dass es sie immer zum downloaden gibt und dass sie auf aktuellen betriebssystemen immer lauffähig sind, da sie eine riesige community haben.

TrueCrypt (Dateiverschlüsselung)

TrueCrypt sit eigentlich größtenteils wegen seiner fähigkeit bekannt, ganze Laufwerke zu verschlüsseln. Es ist aber auch mgölich, lediglich Dateien und ordner zuv erschlüsseln. Diese Dateien und Ordner werden wie bei den weiter oben geannnten Tools als container gespeichert. Diese container liegen wieder als Datei vor. Diese öffnen Sie jedoch nicht einfach mit TrueCrypt, um sie zu verschülsseln, sondern Sie hängen diese container wie ein Laufwerk in ihr betriebssystem ein. Sie können also einen TrueCrypt-container beispielsweise mit dem Laufwerksbuchstbaen F:\ versehen und im Windows dann unter diesem Laufwerksbuchstbaen ansprechen.

Grundsätzlich empfehle ich Ihnen TrueCrypt über allen anderen Dateiverschlüsselungsvarianten, weil TrueCrypt sogar noch ein wenig sicher ist als Packprogramme. Gute Begründungen finden Sie beispielsweise heir.

sie sollten TrueCrypt in der version 7.1a verwenden. für die Version 7.2 gibt es erüchte, dass hier die US-Behörden die Finger im spiel haben.

Woleln wir das mal probieren? wir haben auf unserem Desktop einen Testordner mit einigen Testdateien drin. Deiose wollenw ir verschlüsseln. Wir starten TrueCrypt, wählen einen freien lafuwerksbuchstaben und wählen Create volume.

wir wählen im foglenden Fenster reate an encrypted file container

2015-04-15_15h28_04

wir wählen im nächsten Fenster zunächst einfach mal ein Standard TrueCrypt Volume. wozu ein Hidden Volujme gut ist, lernen wir später.

2015-04-15_15h28_38

den verschlüsselten Ordner wollen wir auf dem Desktop unterdem Namen testencrypt speichern.

2015-04-15_15h29_35

Als Algorithmus benutzen wir AES und als Hash Algorithm RIPEMD-160. die Größe des volumes geben wir einfach mal mit 1 GB an. DAs heißt, wir können Daten in der gesamtgörße von1  GB in dieses Laufwerk verschieben, um sie verschlüsselt abzulegen. als Dateisystem wählen wir NTFS aus – zu übungszwekcen. Denn es kann jaauch sein, dass ihr irgendwann aml ein größeres Laufwerk erstellen wollt, in welches Dateien > 4 GB reinpassen.

2015-04-15_15h31_42

Danach gehen wir auf die Schaltfläche Format. Das TrueCrypt-Volume wird auf unserem Desktop erstellt als Datei mit 1 GB größe (die Datei ist immer 1 GB groß, ganz egal, wie viele versclüsselte Daten eltztendlichd arin abgelegt sind). Wir verlassen den Assistenten mti Exit und binden nun das trueCrypt-Volume als Windows-laufwerk ein, indem wir in der übresicht den Laufwerksbuchstbaen auswählen und Select File wählen.

2015-04-15_15h33_09

wir wählen unsere testencrypt-datei, die auf dem Desktop liegt, und gehen dann auf Mount. Nun werden wir aufgefordert, das Passwort enizugeben, welches wir ursorünglich angeben mussten. Danch wird der TrueCrypt-contaienr als Laufwerk F:\ in unser Windows-system eingebunden. Wir öffnen des Laufwerk und kopieren nun den Ordner mit den testdateien, die wir verschlüsseln wollen, dort rein.

Wenn die Dateien in dem Datenträger drin sind, wählen wir im TrueCrypt-Fenster dismount.

sie sehen jetzt, dass niemand auf die Daten in dem TrueCrypt-container zugreifen kann, solange die Datenträger dismountet sind. Erst, wenn wir wieder die Datei testencrypt als Laufwerk mounten, können wir auf die Dateien wieder zugreifen.

sie haben un die Wahl. Sie können beispielsweise die Originaldateien behalten und diese auf einem Laufwerk lassen, auf welches ausschließlich Sie und niemand anders zugriff hat (auch kein Systemadministrator, Arbeitskollege, Kumpel oder familienmitglied) und die Sie nie an ihrem PC in Betribe nehemn (sonst könnte ja Malware die Original-daten noch auslesen) – sowie  die verschlüsselten Daten im verschülsselten TrueCrypt-Container nun auf Festplatten lassen, auf die andere Zugriff haben. Dabei sollten Sie die Daten in den verschlüsselten TrueCrypt-container immer nur dann mounten, wenn Sie sie gerade brauchen, und das volume danach wieder dismounten (das verhindert, dass außerhalb dieses kurzen Zeitfensters malware oder Hackerauf die Daten im truecrypt-Container zurgeifen können).

Oder zweite möglichkeit: Sie behalten nur noch die verschlüsselten Daten und löschen die Originaldaten restlos. Davor brauchen Sie grundsätzlich keine Angst zu haben, solange sie nie das Passwort für den TrueCrypt-container vergessen. Dabei können Sie sich grundsätzlkich mit einem Passwortmanager wie KeePass behelfen. Dabei sollten Sie aber ebenfalls von den verschlüsselten Containern immer ein Backup machen, da beschädigte Bits in verschlüsselten Zustand noch kritischer sind als bei unverschlüsselten Dateien.

Wenn eine unverschlüsselte Datei teilweise beschädigt ist, weil beispielsweise einer der Sektoren afu der festplatte, auf denen Teile der Datei liegen, schadhaft ist, dann kann es mal sein, dass bei einem Bild beispielsweise ein Pixel falsch dargestellt wird oder eine Audio-datei einen Aussetzer oder Hänger hat. Wenn ihnen das bei einer verschlüsselten Datei passiert, kann die gesamte Datei nicht mehr entschlüsselt werden und diese ist nun gänzlich verloren.

Backups sind also sehr sehr wichtig bei verschlüsselten Daten. Sie können sich auch ein Skript schreiben, mit welchem die im Klartext gemounteten TrueCrypt-container im gemounteten Zustand, nach jedem neustart, vor jedem unmounten des TrueCrypt-Containers oder vor jedem Runterfahren des Systems, auf einen Netzwerkspeicher gesichert werden, in welchem die daten im Klartext gesichert werden. Danach können Sie den TrueCrypt-container unmounten, so dass die Dateien auf ijhrem Live-System wieder im verschlüsselten Zustand sind.

Den verschülsselten TrueCrypt-Container können Sie nun auch auf USB-Sticks mitnehmen und ihn auf einem fremden PC auch jederzeit mounten, solange auf diesem PC auch eine TrueCrypt-Version installiert ist, die eine neuere oder gleiche Version hat wie die Installation, mit der der Container angelegt wurde. Dank der verschülsselung könenn Sie den USB-Stick auch mal verlieren – ohne das Passwort kann ein Fremder die Daten nicht lesen.

Und bei TrueCrypt brauchen Sie eigentlich keine Angst haben, dass es das Tool irgendwann nicht mehr zum Download gibt. Die Community ist selbst heutzutage nochrecht groß. Desweiteren sit TrueCrypt auch auf Linux-Systemen lauffähig – ein weiterer vorteil meienr Meinung nach.

in dieser funktionalität eignet sich TrueCrypt beispielsweise auch, um Daten verschlüsselt auf einem Server abzulegen und den Usern, die die Datei downloaden, auf sicherem WEge ein Passwort für dieses archiv zuzuspielen. So können Hacker beispielsweise selsbt dann die Daten nicht lesen, wenn Sie sich Zugang zu den Daten verschafft haben – beispielsweise über eine Lücke in der Serverkonfiguration.

Den besten Schutz haben Sie, wenn Sie die Daten nicht dauerhaft in einen Laufwerksbuchstaben mounten. Nehmen wir beispielsweise an, Sie haben eine externe Festplatte, auf der sie besonders vertrauenswürdige Daten wie beispielsweise Kontoauszüge, Rechnungen, Steuerunterlagen usw. verschlüsselt in einem TrueCrypt-Ordner abgelegt haben. Solagne diese Dateien nur in diesem TrueCrypt-Ordner drinliegen, sind Sie selbst dann geschütztr, wenn sich ein Hacker oder eine Malware auf ihrem PC einnistet.

Keinen Schutz haben Sie, sobald Sie den TrueCrypt-Container mounten. Denn dann sind diese Dateien entschlüsselt über den Laufwekrsbuchstbaen erreichbar und können jederzeit gelesen werden.

sie sollten Sie Dateien daher zunächst einmal nur dann entschlüsseln, wenn Sie sie wenig später brauchen – und Sie nach dem Betrachten bzw. bearbeiten sofort wieder unmounten.

Wenn die daten auf einem Server oder einem Netzwerkspeicher liegen, sollten Sie nie den TrueCrypt-Ordner direkt auf dem Server oder dem Netzwerkspeicher dauerhaft mounten, so dass Sie über ihren PC auf die entschlüsselten Daten zugreifen können. denn dann kann sich ein Eindringling sowohl über den Server – als auch über Ihren PC Zugang zu den Daten verschaffen. Wenn Sie die Dateien auf dem Server verschlüsselt in einem TrueCrypt-Ordner liegen lassen und die Daten immer vom Server auf Ihren PC herunterladen, um sie dort zu entschlüsseln und zu bearbeiten, dann kann der Angreifer immer nur über Ihren PC Zugriff zu den Daten erhalten. Wenn er den Server gehackt hat, bringt es ihm nichts, wenn sie die Dateien dort nicht entschlüsseln, sondern das immer auf Ihrem Heim-PC erledigen. Nach dem Bearbeiten können Sie dann den TrueCrypt-Container mit den aktualisierten Daten wieder auf den SErver hochladen.

Weitere Dateiverschlüsselung unter Linux

Neben TrueCrypt und Packprogrammen haben sie unter Linux noch andere Möglichkeiten, Daten zu verschlüsseln.

verschlüsseln von /home

Einige Linux-distributionen wie beispielsweise ubuntu haben standardmäßig eine privates Verzeichnis im /home-Verzeichnis eines jeden Benutzers. diesse Verzeichnis ist immer zu finden unter $HOME/Private. Alle Daten, die in diesme verzeichnis abgelegt werden, werden verschlüsselt abgelegt. die verschlüsselten Daten werden in $HOME/.Private gespeichert und dann im entschlüsselten Zustand nach $HOME/Private gemountet. Wenn das System live ist, liegen auch diese Daten unverschlüsselt vor – sie werden automatisch nach einem Login des Benutzers entschlüsselt und sind also nur dann geschützt, wenn das System offline ist. die konfiguratio für dieses private Verzeichnis leigt unter $HOME/.ecryptfs.

Einige Distributionen machen es hingegen möglich, das gesamte Home-Verzeichnis zu verschlüsseln, indem man die Desktop-Cd zur installation oder nachkonfiguration des Betriebssystem nutzt. Dabnei kann man im User setup auswählen, ob man einstellen möchte, dass der User ein apsswort eingeben muss um sich einzuloggen und gleichzeitig das Home-Verzeichnis zu entschlüsseln. Die Funktionsweise ist dabei genau so wie beim private-verzeichnis: sie loggen sich ein, die Dateien werden im entschlüsselten Zustand gemountet. Das System geht offline oder Sie loggen scih aus – die Dateien liegen verschlüselt vor. dabei wird auch die swap-Partition verschlüsselt, da im swap ja Klartext-kopien ihrer Dateien liegen könnten, selbst wenn das System assugeschaltet ist. die Dateiverschlüsselung von Linux hat in dieser hinsicht also den weiter oben genannten Dateiverschlüsselungsmethoden etwas voraus, swenn Sie nicht extra ihre Betriebssystempartition verschlüsselt haben.

Wenn Sie diese Option aktiivert haben, können sie jederzeit einen User mit einem verschlüsselten Home-Verzeichnis hinzufügen über

sudo adduser --encrypt-home

Dazu müssen Sei vorher das Paket cryptfs-utils installiert habnen.

Wenn Sie bereits schon vorher einen User ohne verschlüsseltes Home-Verzeichnsi erstellt haben, müssen Sie auf ein verschlüsseltes home-Verzeichnis „umziehen“. führen Sie dazu folgende Schritte druch:

  • loggen sie sich von der graphischen oberfl’che aus und auf der tty1 ein, indem sie im Linux System Strg+Alt+F1 drücken.
  • erstellen Sie einen neuen adminuser in der Gruppe admin
    sudo adduser –ingroup admin deleteme
  • loggen Sie sich als user deleteme ein
  • sichern Sei die Dateien des alten Users weg
  • löschen sie das übrige homeverzeichnis des alten users
    mv /home/<alter user> /home/olduser
  • benennen sie den alten user um
    usermod –home /home/olduser –login olduser <alter user>
  • der user ist nun umbenannt worden in den Namen olduser mit dem home-Verzeichnis /home/olduser
  • sie erstellen nun einen neuen User mitn dem alten Usernamen mit verschlüsseltem home-Verzeichnis
    adduser –home /home/<alter user> –ingroup admin –encrypt-home <alter user>
  • exit
  • loggen Sie sich als der neue User in die graphische Oberfläche und kopieren Sie die weggesicherten Dateien in ihr neues, verschlüsseltes Home-Laufwerk
  • ändern sie das chown der Dateien, damit sie dem neuen User gehören.
  • entfernen sie ggf. die Admin-rechte vom neuen nutzer.
  • nach einigen Tagen ohne probleme können Sie olduser und dessen Homevezreihcnis löschen.

Wenn Sie ihr Home-directory auf diese Art und weise verschlüsseln, kann SSH public key authentication nicht funktionieren, wenn Sie die Schlüssel im ordner $HOME/.ssh speichern. Diese müssen Sie dann aus dem home-verzeichnis raus bringen. Außerdem können sie den PC nicht in den Ruhezsutand versetzen, da der swap ja verschlüsselt ist und somti der speicherinhalt nicht gelesen werden kann.

Dateiverschlüsselung mit dm-crypt

sudo apt-get install cryptsetup

Mit dm-crypt können Sie unter Linux wie bei TrueCrypt auch verschlüsselte Datei-Container erstellen. Nachteil: diese sind nicht unter Windows lesbar, was auf TrueCrypt-container wiederum zutreffen würde.

Als erstes erstellen wir einen veschülsellten container

dd if=/dev/urandom of=/bigsecret bs=1M count=10

Jetzt haben wir den container bigsecret erstellt mi10 Megabyte Größe

Jetzt erstellen wir einen Loop Device, so dass wir unseren container darin mounten können

losetup /dev/loop0 /bigsecret

Wenn Sie den Fehler bekomemn /dev/loop0: no such file or directory, müssen Sie erts das kernelmodul mit modprobe loop laden. Jetzt verschlüsseln wir den Container mit

cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/loop0

Jetzt holen wir uns über den Device mapper zugriff auf die verschlüsselte Partition

cryptsetup open /dev/loop0 <name>

Das Gerät ist nun unter /dev/mapper/<name> verfügbar. Nun erstellen wir ein Dateisystem auf dem Datenträger

mkfs.<dateisystem> /dev/mapper/<name>

jetzt mounten wir den verschülsseletn datenträger in eienn beliebigen ordner unserer Wahl

losetup /dev/loop0 bigsecret
cryptsetup --type luks open /dev/loop0 <name>
mount -t <dateisystem (empfehlenswert /-Dateisystem des Linux-Systems)> /dev/mapper/<name> <mountpoint>

unmounten des containers über

umount <mountpoint>
cryptsetup close <name>
losetup -d /dev/loop0

tipps zum Vergörßern und Verkleinern eines solchen Containers über https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_a_non-root_file_system

weitere Linux-Alternativen zur Dateiverschlüsselung

Kurz erwähnt seien die beiden Linux-Alterantiven EncFS, FreeOTFE und eCryptfs

TrueCrypt

eine komplette externe Festplatte / einen USB-Stick verschlüsseln

Hier zeigen wir, wie Sie eine komplett Festplatte, auf der nicht ihre Windows-Installation gespeichert ist, verschlüsseln.

Installieren Sie TrueCrypt ganz normal über den Assistenten. als Test haben wir eine 500 GB Festplatte mit NTFS formatiert.

wir starten TrueCrypt und wählen den Button iSelect Device.

2015-04-19_18h42_56

Im darauffolgenden Fenster wählen wir die Festplatte aus, die wir verschlüsseln wollen.

2015-04-19_18h43_57

danach wählen wir oben einen freien Laufwerksbuchstaben aus und gehen auf Create volume.

im folgendne Fenster wählen wir Encrypt a non-system partition/drive

2015-04-19_19h02_57

ium nächsten Fenste rwähglen wir STandard TrueCrypt volume. Danach müssen wir die zu verschlüselnde Partition im Fnester Volume Location auswählen.

Im näcshten Fenster müssen wir auswählen, ob wir entweder eine neue, leere Partition erstellen wollen (alle aktuell auf der Partition befindlichen Daten gehen verloren!) oder ob wir die Daten auf der aktuellen Partition behalten und m itverschlüsseln wollen. Im ersteren Fall wählen wir Create encrypted volume and format it, anderenfalls wählen wir Encrypt partition in place.

Als algorithmus empfehle ich AES-Twofish-Serpent mit Whirlpool als Hashg Algorithmus. Bei der Frage nach LArge Files wählen wir Yes. im nächsten Fenster wird die Verschlüsselung / formatierung vorgenommen.

Nachdem der Datenträger verschlüsselt wurde, können Sie ihn standardmäßig nicht mehr öffne. Wenn Sie jetzt im Betriebssystem versuchen, auf den Datenträger zuzugreifen, sollten Sie eine fehlermeldung bekommen. sie können den Datenträger jetzt nur noch über TrueCrypt entschlüsslen und daurch lesen. sie wählen dadurch in TrueCrypt einen freien Laufwerksbuchstaben und wählen dann den Button Select device, wählen das – jetzt verschlüsselte – Medium, und geben das Passwort ein. erst jetzt können sie das Medium im Betriebssystem mit dem Laufwerksbuchstbaen, welches Sie in TrueCrypt gewählt haben – öffnen.

Was bringt Ihnen jetzt die verschlüsselung? Die V erschlüsselung schützt Sie davor, dass jemand den Datenträger stiehlt, an seinen PC anschließt und dann die darauf befindlichen Daten liest.

Die Verschlüsselung würde nicht davor schützen, wenn Sie den Datrnträger an ihrem PC über TrueCrypt dauerhaft als Laufwerksbuchstaben gemountet haben, jemand in Ihren PC eindringt und von dort aus dann die Daten liest oder kopiert. Daher eignet sich dies Verschlüsselung beispielsweise nicht dafür, um Daten auf einen Server abzulegen und diese dann zum Download anzubieten, da der Datenträger dazu erstmal über truecrypt gemountet werden muss – dann sind die Daten aber entschlüsselt und könne von Angreifern gelesen werden. Für diesen Fall sollten Sie den oben erwähnten TrueCrypt-Container wählen.

Die Daten sind solange verschlüsselt, bis sie durch die Passworteingabe entschlüsselt werden.

Wenn Sie nun ein Laufwerk verschlüsselt haben, macht es sinn, den Laufwerksbuchstaben, unter dem dads Betriebssystem ursprünglich die unverschlüsselte Variante angebunden hatte, zu entfernen, damit Sie diesen laufwerksbuchstaben nicht versehentlich bei irgendwelchen DAteioperationen benutzen – sondern immer nur den Laufwerksbuchstaben, den Ihnen TrueCrypt zur Verfügung stellt. Unter Windows gehen Sie hierzu in der Datenträgerverwlhaung mit REchtsklick auf den zu entfernden Laufwerksbuchstaben – Laufwerksbuchstaben und -pfade ändern… / Entfernen.

truecrypt unter linux verwenden

Eventuell wollen Sie einen durch Truecrypt-verschlüsselten Datenträger  – etwa eine externe Festplatte oder einen USB-Stick – unter einem Linux-Betriebssystem mounten – oder selber eigens verschlüsselte container / Partitionen unter Linux erstellen.

Zunächst muss man TrueCrypt installieren. das geht entweder über die Paketverwaltung

sudo apt-get install truecrypt

über vorkompilierte Binärdateien (beispielsweise von TCnext herunterzuladen)

archiv entpacken
sudo sh verzeichnis/zur/Datei/truecrypt-VERSION-linux-ARCHITEKTUR

die installation erfolgt in diesem falle mit grafischem Assistenten. in diesem Fall muss eine grafische oberfläche installiert sein.

oder man kompiliert truecrypt aus dem Quelltext

sudo apt-get install build-essential nasm libgtk2.0-dev libfuse-dev
#quellcode archiv entpacken:
tar -xvzf archiv.tar.gz
#wxwidgets bilbiothek herunterladen und entpacken
http://www.wxwidgets.org/downloads/#latest_stable
#die PKCS#11 headerdateien pkcs11.h pkcs11f und pkcs11t.h von http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm herunterladen
cd ~/truecrypt/truecypt-<version>-source
make WX_ROOT=~<ordner-zu-wxWidgets>wxWidgets-<version> wxbuild 
cd ~/truecrypt/truecypt-<version>-source
make PKCS11_INC=~/truecrypt/pkcs11 VERBOSE=1 WXSTATIC=1

Danach erhält man eine TrueCrypt binary, die man afurufen kann.

Für die Bedienung von Truecrypt ist eine grafische oberfläche empfehlenswert. Wenn Truecrypt also auf einem entfernten Server ausgeführt werden soll, den man per SSH administriert, muss X11-Forwarding eingerichtet werden. Grundsätzlich kann truecrypt jedoch für erfahrene Anwender auch gänzlich über die kommandozeile bedient werden.

Man kann auf kommandozeilenebene ein Truecrypt-Laufwerk mounten, welches man auf einem anderen PC erstellt hat

truecrypt  --fs-options="utf8" /dev/sd<x>

der verschlüsselte Datenträger ist nun unter /dev/mapper/truecrypt0 verfügbar. Die option –fs-otpions=“utf8″ wird bei Laufwerken genommen, die parallel auch desöfteren unter Windows verwendet werden, um die korekte darstellung von Sonderzeichen zu ermöglichen.

Unmounten kann man so ein Laufwerk wieder mit

truecrypt -d /dev/sd<x>

Wenn sie beim unmounten einen Fehler bekommen im format

device-mapper: remove ioctl failed:

dann geben Sie vor truecrypt-d ein:

sudo umount <mountpoint>

dann sollte es gehen.

einen verschlüsselten Container wiederum mountet man mit

truecrypt <pfad-zum-container> <ordner in den gemountet werden soll>

den container kann man wiederum mit hilfe von

truecrypt -t -d <ordner in den gemountet wurde>

wieder aushängen.

Man kann auf kommandozeilenebene auch Truecrypt-container erstellen.

truecrypt -t -c

im Anschluss muss man auf kommandozeilenebene sich durhc die selbe menüführung hangeln, die man ansonsten grafisch angezeigt bekommen hätte.

Dabei wird euch auffallen, dass ihr bei truecrypt unter Linux im Gegensatz zu TrueCrypt unter Windows kein NTFS auswählen könnt, um einen Datenträger zu verschlüsseln. Ihr könnt jedcoh einen Datenträger ohne Dateisystem (none auswählen) frisch verschlüsseln, den datenträger mounten

truecrypt --filesystem=none /dev/sd<x>

und dann ein NTFs-Filesystem nachträglich draufmachen

mkntfs --quick /dev/mapper/truecrypt0
#gerätedatei aushängen
truecrypt -d /dev/sd<x>
#truecrypt-laufwerk einhängen
truecrypt /dev/sd<x> <ordner in den gemountet werden soll>

verschlüsselte Truecrypt-Laufwerke beim systemstart einbinden

Eventuell wollen Sie jetzt noch, dass die verschlüsselten Partitionen automatisch beim Linux-Systemstart gemountet werden. Hinweis: Grundsätzlich ist dies ein Sicherheitsrisiko, da die Dateien auf dieser Partition dann nach jedem neustart automatisch unverschlüsselt im Mountpoint bereitgestellt werden. Hat der Angreifer sich unberechtigterweise zugriff afu den Rechner verschafft, kann er die Dateien im klartext lesen. Bevor Sie allerdings eine Partition mit sensiblen Daten gar nicht verschlüsseln, weil Sie auf den Komfort des automatischen Mountens nicht verzichten wollen/können, dann machen Sie es eben so und gehen einen Kompromiss ein. Dann kann man immerhin die Festplatte nicht ausbauen, wo anders anstecken und die Daten auslesen.

Als erstes müssen Sie sicherstellen, dass die festpaltte nach jedem Systemstart immer am selben Punkt unter /dev erscheint. Standardmäßig kann man sich darauf leider nicht verlassen. Die selbe Festplatte, die zuvor unter /dev/sda2 erreichbar wra, kann nach einem neustart unter Umständen als /dev/sdb2 eingebunden werden.

Linux bietet hier eine lösung an, indem unter /dev/disk/by-id/ Dateien an, welche eine eindeutige Bezeichnung von an das System angeschlossenen Festplatten enthalten. sie beinhalten dabei die modellbezeichnung und die eindeutige seriennummer des geräts. diese haben das Format <Anschluss>-HERSTELLER_Modell_Seriennummer-part<partitionsnummer>

sie können herausfinden, auf welche gerätedatei diese jeweilige eindeutige Festplatte verbunden ist über

ls -l <Datei>

anstatt mit dieser Gerätedatei können Sie einen link auf diese Datei machen. Anstatt dann dauernd den Dateinamen rauszusuchen können Sie dann mti dem einfacheren Namen des Symlinks arbeiten.

ln -s /dev/truecrypt-platte /dev/disk/by-id/ata-xxxxx

In Zukunft können Sie die festplatte nun über /dev/truecrypt-platte ansprechen.

Jetzt müssen Sie das Gerät einmal in ein Verzeichnis mounten, mit

sudo chmod go+w <mountpoint>

ausführbar machen und das Laufwerk dann mittels

truecrypt <Gerätedatei> <mountpoint>

mounten. Damit Sie in Zukunft das Gerät automatisch einbinden können, müssen Sie es zu den TrueCrypt-Favoriten hinzufügen.

Dazu wählen Sie im TrueCrypt-Fenster den mountpoint aus, rechtsklicekn und wählen Add to System Favoritesi.

Jetzt müssen wir uns um das automatische Einbinden selbst kümmern. Aktuell bindet Truecrypt beime rsten Start die Laufwerke noch nicht automatisch ein, wenn man symbolische Links verwendet. Da hilft ihnen auch der lange Dateiname im Format <Anschluss>-<HERSTELLER>_<MODELL>_<SERIENNUMMER>-part<Partitionsnummer> unter /dev/disk/by-id nichts, da dies auch nur ein symbolischer Link ist. Was sie machen müssen ist, zunächst alle angeschlossenen Datenträger im system einmal ganz normal zu mounten und im Anschluss wieder auszuhängen. Von dem moment an können Sie mit symbolischen Links arbeiten. Aus dembereits bekannten Problem ehraus, dass sich jedoch die Nummerierung der festplatten und Partitionen ändert, können Sie nicht einfach in einem Skript schreiben, dass immer die Gerätedatei /dev/hda2 gemountet werden soll, weil diese beim nächsten Systemstart ja theoretisch /dev/hdb2 heißen könnte – und es kein /dev/hda2 mehr gibt, weil es auf der aktuellen /dev/hda wiederum nur eine Partition gibt.

Deswegen müssen wir auch hier tricksen.Die einfachste lösung ist, sie verpassen den Partitionen jeweils ein Label und mounten die Geräte dann mit Hilfe dieser Label.

Eventuell hat eine Festplatte bereits ein Label. dies können Sie überprüfen mit

e2label <Gerätedatei>

Sie können mit dem Kommando e2label aber auch ein Label für die Platte setzen.

e2label <Gerätedatei> <Label>
#oder
tune2fs <Label> <Gerätedatei>

Jetzt können Sie entweder über ein skript

mount -L <Label> <mountpoint>
#oder
mount /dev/disk/by-label/<Labelname> <mountpoint

Oder über die datei /etc/fstab

LABEL=<label> <mountpoint> <dateisystem> users,guid=1000,gid=users,umask=0002,utf8=true 0 0

die Partition bei jedem Neustart mounten lassen. Danach müssen Sie über ein Skritp die Partition wieder unmounten, da Ihr System sowieso nichts damit anfangen kann ohne Truecrypt (da die Partition ja verschlüsselt ist).

Von diesem Punkt an können Sie nun die platte über ein Skript den symbolischen Link unter /dev/disk/by-id mounten.

Jetzt haben wir alles zusammen, um unser skript zu schrieben. Als erstes brauchen wir einen User, der mit TrueCrypt umgehen kann. sie können entweder ihren eigenen Benutzer verwenden – Truecrypt wird dann automatisch die Datenträger mounten, sobald sie sich einmalig n der shell nach einem neustart einloggen, indem sie ihr Passwort eingeben.

Sie können aber auch einen extra Benutzer anlegen, der kein Passwort hat, und diesem lediglich das Mounten über truecrypt erlauben und alle anderen Aktionen mit Truecrypt verbieten.

groupadd truecrypt
useradd -G truecrypt truecrypt
#alle naderen user, die truecrypt benutzen sollen,e benfalls in die gruppe truecrypt reinschieben (und den user root)
chown truecrypt:truecrypt /bin/truecrypt
chmod 640 /bin/truecrypt
sudo visudo
#foglende Zeilen einfügen:
truecrypt ALL=NOPASSWD: /bin/truecrypt --auto-mount=favorites --load-preferences
<dein_linux_user> ALL=(truecrypt) NOPASSWD: /etc/init.d/run-truecrypt.sh /etc/rc.d/run-truecrypt.sh

Jetzt darf der User truecrypt ohne Passworteingabe den Befehl

/bin/truecrypt --auto-mount=favorites --load-preferences

ausführen und sonst nichts.

Nun erstellen wir ein skript namens ~/bin/mount-truecrypt.sh mit folgendem inhalt

#!/bin/bash
truecrypt --auto-mount=favorites --load-preferences;

und machen das Skript ausführbar

chown truecrypt:truecrypt /home/truecrypt/bin/mount-truecrypt.sh
chmod +x /home/truecrypt/bin/mount-truecrypt.sh

Jetzt brauchen wir noche in skript, mit dem es uns möglich ist, als User truecrypt das Skript mount-truecrypt.sh beim Systemstart auszuführen. Dazu erstellen wir in /root/ die Datei run-truecrypt.sh mit folgendem Inhalt

sudo -u truecrypt /home/truecrypt/bin/mount-truecrypt.sh
#oder altenativ probieren:
su -c /home/truecrypt/bin/mount-truecrypt.sh -c /bin/sh truecrypt

und machen das Skript ausführbar

chown root:root /root/run-truecrypt.sh
chmod +x /root/run-truecrypt.sh

Nun sorgen wir dafür, dass das Skript jedesmal beim Systemstart ausgeführt wird.

ln -s /root/run-truecrypt.sh /etc./init.d/run-truecrypt.sh
ln -s /home/truecrypt/bin/run-truecrypt.sh /etc/rc.d/run-truecrypt.sh
#alternativ können wir das skript auch direkt in die Datei rc.local schreiben
# alternativ können wir auch über crontab -e #einen Eintrag anlegen:
#@reboot /root/run-truecrypt.sh

 

verschlüsselte TrueCrypt-laufwerke beim Anstecken unter Linux neu mounten

Wenn Sie verschlüsselte TrueCrypt-Laufwerke sporadisch an ein Laufwerk an- und abstecken und diese bei jedem Anstekcen autoamtisch mounten wollen, dann müssen Sie auf das apket mounttruecrypt zurückgreifen. das paket können Sie als .dev-paket herunterladen und einspielen. Sie müssen dann noch sichergehen, dass sie die /usr/bin/mounttruecrypt als der benutzer, der seine paltten atuomatisch gemountet haben möchte, ausführen dürfen.

in meinem post Festplatten beim Neustart oder beim Anstecken immer unter dem selben Gerätenamen mounten hatte ich Ihnen als Lösung zum automatischen Mounten von angesteckten festplatten das Tool udev vorgestellt. Dieses Tool brauchen wir auch hier.

Die udev-Regel unter /etc/udev/user.rules könnte so aussehen, wenn Sie die <x>-te Partition einer bestimmten USB-Festplatte beim Einstecken mounten wollen:

SUBSYSTEM=="usb",ACTION=="add", KERNEL=="sd?<x>", ATTRS{serial}=="<Seriennummer>", SYMLINK+="<Symlinkname>", RUN+="/usr/bin/mounttruecrypt -u <Benutzer> /dev/<Symlinkname>"

Wenn es die Datei /etc/udev/user.rules noch nicht gibt, weil Sie nicht automatisch angelegt wurde, dann führen Sie aus:

sudo touch /etc/udev/user.rules
sudo ln -sv /etc/udev/user.rules /etc/udev/rules.d/80-user.rules

Auf dei SEriennummer der Festpaltte kommen Sie folgendermaßen, wenn Sie sie einmal manuell eingebunden haben und die platte beispielsweise als /dev/sdc eingebunden ist:

udevadm info -a -p `udevadm info -q path -n /dev/sdc` | grep ATTRS{serial}

an den richtigen Wert für SUBSYSTEM bzw. BLOCK bekommen Sie so:

udevadm info -a -p `udevadm info -q path -n /dev/sdc` | grep SUBSYSTEM=

nach der einstellung der user.rules müssen wir udev neu starten

/etc/init.d/udev reload

 

eigene Betriebssytempartition verschlüsseln

mit TrueCrypt können Sie ganze Betriebssystempartitioenen verschlüsseln. Führen Sie die TrueCrypt-Installation als Administrator aus. in der Menüleiste klicken Sie dann auf System und dann auf System-partition / Laufwerk verschlüsseln. wählen Sie normal / Gesamtes Laufwerk verschlüsseln. Damit werden auch Daten geschützt, die auf anderen Partitionen als der systempartition, aber auf dem selben Datenträger, liegen. Daraufhin werden alle Partitionen des Datenträgers inklusive Betriebssystemdaten verschlüsselt, bis auf den ersten Datenblock, der den sogenannten TrueCrypt Bootloader bildet. mit diesem ist es mögölich,d as Betriebssystem und die anderen Daten zu entschlüsslen, wenn sie vom Datenträger booten oder ihn sonst irgendwie lesen möchten.

sie sollten TrueCrypt in der version 7.1a verwenden. für die Version 7.2 gibt es erüchte, dass hier die US-Behörden die Finger im spiel haben.

Sie starten TrueCrypt und wählen den Button Create volume. Im nächsten Fenster wählen Sie Encrypt the system partition or entire system drivei. als Verschlüsselungsartn nehmen wir Normal. im nöächsten Fenster sollen wir auswählen, ob nur die Windows Systempartition oder die gesamte Festplatte verschlüsselt werden soll. Die gesamte Platte sollten Sie nicht verschlüsseln, wenn Sie ein Notebook / Netbook / Tablet haben. denn dann hat Ihnen der Hersteller womöglich eine versteckte Rettungspartition angelegt, ohne die es nicht mehr möglich ist, das Gerät in den Auslieferungszustand zu versetzen. DAher sollten Sie diese Partition nicht mit verschlüsseln. Bei einem Tower-PC können Sie getrost die gesamte Festplatte verschlüsseln.

Die Verschlüsselung des host-geschützten Bereichs sollten Sie generell deaktivieren. Dies bringt zwar ein Plus an Sicherheit, kann jedoch bei der verwnedung von RAID-Controllern zu Problemen führen.

in der nächsten Version wählen Sie aus, ob auf dem Datenträger entweder nur ein einziges betriebssystem, oder mehrere installiert sind.

Danach legen Sie die Verschlüsselungseinstellungen fest. Vergeben Sie ein langes Passwort von mindestens 20 Zeichen.

Danach sollen sie gemäß TrueCrypt eine Wnidows-rettungs-Disk erstellen, damit das Betreibssystem bei einem boot-Problem trotzdem hochfahren kann. Dazu speichert TrueCrypt eine .iso-Datei, die se brennen können, damit TrueCrypt fortfährt. Bereits beim näcshten neustart des Betriebssystems müssen sie hr gewähltes passwort für den verschlüsselten Datenträger eingeben. Dies nennt sich Pre-Boot-authentiication. nur mit dieser rettungs-CD, die Sie hier erstellt haben, können Sie die Daten wiederherstellen – nicht mit einer anderen! Heben Sie die .iso-Datei also gut auf.

Nun sollen Sie auswählen, wie oft die vor der Verschlüsselung  bereits existierende Daten überschrieben werden sollen, um eine wiedehrerstellung zu verhindern.

Danach wird ein Test der verschlüsselung gefharne. Dort wird festgestellt, ob eine Verschlüsselung möglich ist. Nach einem neustart sollen Sie bereits zum ersten aml das Passwort eingeben und können danach erst das Betriebssytem booten.

Nun sollten Sie nach dem neustart über TrueCrypt / Extras / volumen-Header sichern… den TrueCrypt-Header auf dem Datenträger sichern, damit Sie den Datenträger wiederherstellen können.

Was bringt ihnen nu die Verschlüsselung? nun, die Verschlüsselung verhindert, dass jemand ohne das Passwort das Betriebssystem booten kann – das bringt schonmal etwas, wenn jemand unbeaufsichtigt an ihren PC geht. Zum anderen kann jemand, der die Festplatte ausbaut und als externe platte an ein anderes System anschließt, die Daten nicht lesen, da sie verschlüsselt sind.

 

Hidden Volumes

Hidden Volumes sind verschlüsselte container in verschlüsselten Containern. Diese wurden eingeführt, weil es die Rechtssprechung in manchen Ländern hergibt, dass man Sie zur Herausgabe eines Kennwortes zwingt. Mit einem Hidden Volume können Sie das Kennwort für das erste Volume herausgeben. Hier sollten Sie, damit es nichta uffällt, einige vertrauliche Daten wie beispieslweise rechnungen, informationen zu Krankheiten, reinschaufeln. diewirklich wichtigen Daten hingegen legen sie in das Hidden Volume, das sich nur öffnen lsäst, wenn das zweite Passwort eingegbeen wird. Die Existenz eines Hidden Volumes lässt sich niht nachweisen. Nur Sie wissen, dass es neben den bereits angezeigten Dateien für das erste Passwort noch einen inneren Container gibt, der weitere Daten enthält.

nun könnten Sie vielleicht sagen: aber fällt das nicht auf? Die Dateine im Fake-Volume, in welchem nicht die vollstädnigen Daten enthalten sind, müssten doch insgesamt kleiner sein als die Gesamtgröße des Containers. Ja, aber Sie können ja einen TrueCrypt-Container beliebig groß machen – beispielsweise 1 GB groß, aber nur 200 MB an Daten darin ablegen. Niemand würde auf die Idee kommen, das zu hinterfragen, weil Sie halt einen Puffer eingerechnet haben, um dem Container neue Dateien hinzufügen zu können. Und jedes mal, wenn Sie einen solchen fAke-Container aufrufen, dann wird als Größe des Fake-Volumes als genau so groß angezeigt, wie die normale True-Crypt-Datei an sich.

Das ganze birgt nun allerdings foglende Gefahr:  Nehmen wir an, Sie erstellen einen TrueCrypt-Container, der 20 GB groß ist. Darin erstellen Sie ein Hidden Volume mit 10 GB an Größe. Das hideen Volume füllenm Sie bis zum rand mit 10 GB an Daten aus. in das Fake-Volume schieben Sie nun 10 GB an Daten, so dass der ganze Truecrypt-Container voll ist. Wenn Sie nun in TrueCrypt das Fake-Volume öffnen, dann zeigt ihnen der Explorer an, dass noch 10 GB frei sind – obwohl das natürlich in Wahrheit nicht stimmt, weil diese 10 GB schon vom verstekcten Volume gebraucht werden. Trotzdem haben Sie die Möglichkeit, diese „scheinbar-freien“ 10 GB mit neuen Daten zu befüllen – sonst würde es ja Aufsehen erregen, wenn das verhindert werden würde. Sobald Sie aber den Speihcerpaltz des Fake-Volumes ausreizen, überschreiben Sie den Speicherplatz des Hidden-Volumes, ohne dabei gewarnt zu werden. Diese Gefahr muss Ihnen natürlich bewusst sein.

Noch trickreicher wird True Crypt, wenn man eine Systempartition verschlüsselt und dann als Verschlüsselungsart ein Hidden Volume auswählt. Dann ist es nämlich möglich, bie der Eingabe des einen Passwort das eine, bei der Eingabe eines zweiten Passwort ein anderes Betriebsysstem zu booten.

bei Verwenden von TrueCrypt sollten Sie darauf achten, dass Sei in den Einstellungen die Option Cache beim Beenden sicher löscheni sowie Kennwörter im cache beim autoamtischen Trennen sicher löschen  aktiiveren, damit nach dem Logout oder ausschalten des Rechners das Passwort sicher aus dem Cache entfernt wird

Partitionsverschlüsselung mit dmcrypt

wie auch mit TrueCrypt nutzen Sie die Partitonsverschlüsselung ohne Verschlüsselung der Betriebssystempartition auch hier, um externe Datenträger und Nicht-Betriebssystem-Partitionen zu verschlüsseln.

LUKS

Luks ist die aktuelle Variante von dmcrypt. Ältere Varianten wie cryptloop sollten Sie nicht mehr nutzen.

sudo apt-get install cryptsetup

Jetzt kommt es darauf an, ob auf dem Datenträger schon wcihtige Daten sind oder nicht.

Falls ja, müssen Sie erst ganz normal den Datenträgeroder Partition verschlüsseln lassen und dann eine Datei erstellen, die genau so groß ist wie der restliche freie speicherpaltz auf dem Datenträger, der danach übrig bleibt. Dann führen Sie aus

dd if=/dev/zero of=<datei die den freien speicherplatz auf verschlüseltem datenträger ausfüllt>
rm <datei>

Falls nicht, wollen wir die Festplatte einmal „sicher löschen“,  bevor wir sie formatieren und anschließend verschlüsseln, bevor wir Sie zum ersten mal effektiv mit Daten füllen.

Dazu erstellenw ir erst einen temporären versclühsselten Container auf der Partition oder dem kompletten Datenträger

cryptsetup open --type plain /dev/<Partition/Datenträger> container

Danach prüfen wir, ob der ocntainer existiert

fdisk -l

Der container ist dann zu finden als /dev/mapper/container

Nun löschen wir den Datenträger einmal sicher

dd if=/dev/zero of=/Dev/mapper/container iflag=nocache oflag=direct

eventuell bekommen Sie irgendewann die meldung dd: writing to ‚/dev/mapper/container‘: No space left on device

Falls sie wollen, können Sie den Datenträger jetzt noch mit normalen Linux-Werkezugen partitionieren. In den folgenden Schritten zeige ich nun, wie sie einen gesamten Datenträger oder eine Partition verschlüsseln

Als erstes müssen wir den LUKS Header auf de APrtition / dem Datenträger erstellen über

cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat <Partition/Datenträger)

Jetzt holen wir uns über den Device mapper zugriff auf die verschlüsselte Partition

cryptsetup open <datenträger/partition> <name>

Das Gerät ist nun unter /dev/mapper/<name> verfügbar. Nun erstellen wir ein Dateisystem auf dem Datenträger

mkfs.<dateisystem> /dev/mapper/<name>

jetzt mounten wir den verschülsseletn datenträger in eienn beliebigen ordner unserer Wahl

cryptsetup --type luks open <gerät> <name>
mount -t <dateisystem (empfohlenerweise dateisystem der /-partition auf dem linux-system)> /dev/mapper/<name> <mountpoint>

Zum unmounten nutzen wir

umount <mountpoint>
cryptsetup close <name>

wie bei TrueCrypt können wir auch hier Maßnahmen treffen, um den Datenträger in Zukunft automatisch zu mounten

wir können zum einen die /etc/crypttab nutzen. Dann wrid der Datenträger bei jedem Bootvorgang entschlüsselt gemountet. die Datei ähnelt dabei /etc/fstab. Wenn wir wollen, dass usner Laufwerk beim booten geöffnet wird, brauchen wir erstmal die UUID über das kommando

lsblk -f

und fügen dann folgende Zeiel in die crypttab ein

<name>       UUID=<UUID>       none    luks,timeout=180

damit das funktioniert, müssen wir jetzt noch in die /etc/fstab schreiben:

/dev/mapper/<name> <mountpoint> <dateisystem (empfohlenerweise /-Dateiyystem)> defaults,errors=remount-ro 0 2

 

DeviceMapper und cryptoloop

Diese Lösung ist etwas veraltet. Trotzdem werde ich sie behandeln. Der DeviceMapper sit ein Framework, welcehs es ermöglkicht, einen Datenträger, der beispielsweise unter /dev/sdb1 steckt, mit modifikationen unter einer neuen Gerätedatei unter beispielswiese /dev/mapper zu erstellen. Deise neue Gerätedatei kann dann unbahängig von der eigentlichen gemountet werden. dabei ist es möglich, mit dem Device-Mapper Daten verschlüsselt auf die eigentliche Festpaltte über diese Geräteblockdatei zu schreiben. Dazu bruache wir dm-crypt.

sudo apt-get install crypsetup
Dann alden wir eniige benötigte module. wir brauchen dm_mod, dm_crypot und ein crypto-modul.  die meisten sollten schon enthalten sein
  /sbin/modinfo /lib/modules/`uname -r`/kernel/crypto/*           |grep description
    /sbin/modinfo /lib/modules/`uname -r`/kernel/arch/i386/crypto/* |grep description

die komamndos sollten die verfügbaren module auf de rmachien auflisten. Das aes modul ist ein alias für das modul, welches installiert ist.  wir müssen sichergehen, dass dies Emodule bem Betribessystemstart geladen werden. Dazu fügen wir foglende zeilen in die datei /etc/modules

    sudo -i  (to make yourself root)
    echo aes >> /etc/modules
    echo dm_mod   >> /etc/modules
    echo dm_crypt >> /etc/modules

Jetzt wählen wir die aprtition, auf der wir die vershclüsselten Daten speichern wollen. Wir erstellen dann dafür den device mapper. Der DeviceMapper ist dabie ein Filter, der automatisch die Daten ver- und entschlüsselt, wenn sie gebraucht werden.. die gewählte Partition darf noch nicht gemountet sein

sudo cryptsetup -y create crypt /dev/<Partition>

wir bearbeiten die /etc/crypttab und die /etc/fstab so dass unser crypt-device neu gestartet und jedesmal beim booten gemountet wird (in unsrem beispiel nach /crypt).

    sudo -i (do this as root) 
    echo "crypt /dev/<Partition> none none" >> /etc/crypttab
    echo "/dev/mapper/crypt /crypt reiserfs defaults 0 1" >> /etc/fstab

Bei jedem Reboot müssen wir jetzt das Passwort für die Partition eingeben, bevor wir uns im Betriebssystem einloggen können.

Jetzt müssen wir auf dem gemappten Device noch ein Dateisystem erstellen, damit wir künftig darauf zu verschlüsselnde Dateien speichern können

sudo mkfs.reiserfs /dev/mapper/crypt

und mounten es

sudo mkdir /crypt
sudo mount /crypt

Weitere infos zudieser Methode unter https://help.ubuntu.com/community/EncryptedFilesystemHowto

 Betriebssystemverschlüsselung mit dm-crypt

https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system

 Was es zusätzlich zu beachten gibt

Damit die Dateiverschlüsselung von Datenträgern und Dateien erfolg hat, gibt es desweiteren folgendes zu beachten:

Es kann vorkommen, dass Daten, die Sie von einem verschlüsselten Laufwerk oder zumindest von einem verschlüsselten Container lesen – in einem unverschlüsselten Bereich ihrer lokalen Festplatte zwischengespeichert werdne. ETwa in den Ordner C:\Temp ihres PCs, weil dort temporäre Dateien abgelegt werden. Es empfiehlt sich daher, verschlüsselte Dateien immer nur auf Systemen zu bearbeiten, die ebenfalls eine verschlüsselte Systempartition aufweisen. Wie man eine solche verschlüsselte Systempartition erstellt, haben wir ja weiter oben bereits gezeigt.

Sie sollten Dateien wenn möglich nur im verschlüsselten Zustand über das Netzuwerk versenden – also beispielsweise als TrueCrypt-Container oder als passwortgeschütze Archivdatei (etwa 7zip- oder winrar-Archiv). Sollten Sie doch einmal die Dateien im unverschlüsselten Zustand übergeben müssen, dann achten Sie darauf, dass dann der Netzwerkverkehr an sich verschlüsselt ist – beispielsweise über eine verschlüsselte VPN Verbindung oder über ein SSL-gestützes Protokoll wie etwa HTTPS oder SMTPS.

Zwei Dateiablagen von sensiblen Daten, die nutzer oft vergessen zu verschlüsseln sind:

  • der Profilordner Ihres E-Mail-Clients (beispielsweise vom mozilla Thunderbird). Die e-Mails, die sie auf Ihrem Rechner abrufen, werden in diesem Ordner im klartext gespeichert. Angreifer oder Benutzer, die am selben PC arbeiten – oder auch Systemadministratoren in Ihrem Netzwerk – können ggf.  diese E-Mails dann im klartext mitlesen bzw. den Profilordner kopieren und dann von zu Hause aus Ihre Maisl durchlesen. Ich hab in diesem Blogpost gezeigt, wie sie den Thunderbird-Profilordner verschlüsseln. Dabei mounten Sie den E-Mail-Profilordner immer nur kurz, wenn Sie Ihre Maisl gerade bearbeiten, und dismounten dann den Profilordner des Thunderbirds wieder, so dass danach kein Angriffspunkt mehr gegeben ist – das prinzip der Dateiverschlüsselung halt. Somit bleiben Ihre E-Mails weitestgehend auch im live-Betrieb des Betriebssystems geschützt. nachteil: Wenn Sie sich brav daran halten, können Sie Ihr Mailprogramm nicht wie gewohnt ständig im Hintergrund arbeiten und regelmäßigen nach Maisl checken lassen, da Sie jedesmal den Container neu mounten müssen. Wenn Sie sich hingegen nicht daran halten, dann reicht IHnen die Verschlüsselung der Betriebssystempartition, da diese dann den gleichen Schutz bei ausgeschaltetem System bietet wie ein Dateicontainer mit dem Zusatzt, dass auch Temp-Dateien auf dem Betriebssystem mitverschlüsselt werden.
  • wenn Sie mit virtuellen Maschinen arbeiten, beispielsweise weil Sie sich die Tipps aus meinem Post Home-IT-Security Part 2 zu Herzen genommen haben, müssen Sie immer im Hinterkopf behalten – dass andere Betriebssystembenutzer, angreifer und Systemadministratoren die Datei, unter der die Festplatte der virutellen maschine gespeichert ist, einfach kopieren und dann im Klartext lesen können. Eine solche virtuelle maschinendatei ist nämlich nichts anderes als ein virtueller Vertreter einer normalerweise physikalischen festplatte. Deswegen sollten Sie im besten fall entweder die Datei dieser festplatte in einem Container per Dateiverschlüsselung – oder innerhalb des Betriebssystems der virtuellen maschine eben die Betriebssystempartition – verschlüsseln.

einige von Ihnen werden sich jetzt vielleicht fragen: Und was ist mit dem Browser-Cache? Nun, den Browser-Cache zu verschlüsseln sit etwas overkill, da Sie dann jedes mal, bevor Sie im Web surfen, den Cache mounten müssten. Angesichts der hohen nutzungsrate des WWW bei einem Casual-PC-Nutzer ist dies viel zu umständlich. Desweiteren sollte es gar nicht nötig sein, dass Sie Ihren Browser-Cache verschlüsseln. Denn eigentlich achten Entwickler von sensiblen Webanwendungen wie beispieslweise von Social Netowrking Seiten, E-Mail-Anbieter wie web.de, Anbieter von Cloud-Diensten (Dropbox, Box.com usw.) sowie von Web 2.0-Diensten (wie beispielsweise Google+, twitter, Youtube usw.) und auch Ihre Bank beim Entwicklung des Online-Bankings darauf, dass im Cache niemals sensible Daten wie etwa Geldbeträge, Ihr Name, kontonummern oder Ähnliches abgelegt werden – sondern nur unsensible Informationen wie beispielsweise Bilder etc.

Anders sieht es eventuell bei Webanwendungen aus, in denen Sie sensible Informationen von sich posten, die jedoch nicht auf diese Feinheiten hin optimiert worden sind. Wenn Sie beispielsweise Kontodaten, Ihre private Adresse oder telefonnummer o. Ä. in ein Webforum reinschreiben, von welchem Sie denken, es sei sicher, weil die Verbindung per HTTPS verschlüsselt und das Forum selbst passwortgeschützt ist, dann müssen Sie im Hinterkopf behalten, dass diese Daten womöglich unverschlüsselt im Browser-Cache liegen. In dem Fall nützt Ihnen aber auch die Verschlüsselung des Brwoser-Cache nichts, da Sie das Forum ja nicht nutzen können ohne den Browser-cache gemountet zu haben. Generell kann man hier also nur sagen: Nutzen Sie für sensible Informationen entsprechend dafür optimierte Webanwendungen.

Eine Alternative wäre natürlich, wenn Sie den Browser-Cache komplett abschalten. Dann profitieren sie allerdings nicht mehr von den Vorteilen eines Browser-Caches, also vom Zwischenhalten von Daten zum Schnelleren Wiederladen von Websites. DAs kann jedoch vernachlässigt werden, wenn sie eine besonders hohe Bandbreite für Ihren Internetanschluss haben. Wie Sie Ihren Browser-Cache zu diesen Zwecken abschalten, habe ich in meinem Post Home-IT-Security Part 2 beschrieben.

Wenn Sie ihre Betriebssystempartition wie oben beschrieben verschlüsselt haben, dann kann Ihnen ja z. B. immerhin schonmal nichts mehr passieren, wenn die Festplatte geklaut wurde oder ein fremder Benutzer den PC startet.

 die Debatte um TrueCrypt erklärt

aus dem von mir erstellten post geht bei genauerer Betrachtung ganz eindeutig hervor, das ich die verwendung von TrueCrypt sowohl zur Datei- als auch zur Partitionsverschlüsselung empfehle.

Einige User werden dieser empfehlung vielleicht mit einem Fragezeichen über dem Kopf begegnen. Über diverse Fachmagazine und Online-redaktionen wurde ja propagiert, dass TrueCrypt nicht mehr sicher sei, weil dies auf der offiziellen Seite bekannt gemacht wurde. es gehen gerüchte um, dass TrueCrypt von der NSA „übernommen“ wurde und es daher eine Hintertür für trueCrypt gibt.

hier die Tatsachen:

  • die TrueCrypt Seite wurde geändert mit dem Hinweis, dass die Software nicht mehr sicher ist
  • jedoch wurde beim im Auftrag gegebenen Quellcode-audit von TrueCrypt bislang keine Sicherheitslücke gefunden. Die erste Hälfte des quellcodes von TrueCrypt wurde bereits als sicher validiert, das Audit der zweiten Hälfte steht noch aus. se steht also noch nicht fachkundig fest, ob TrueCrypt wirklich eine sicherheitslücke enthält oder nicht.
  • es wurde eine Version 7.2 von TrueCrypt released, die nur noch bestehende Container und verschlüsselte Laufwerke entschülsseln kann, um Sie gemäß Empfehlung der Projektseite „nach Bitlocker zu migrieren“. Das ist aber theoretisch schwachsinn, weil man diese Contaner und Laufwerke ja auch genau so gut mit der version 7.1a, der letzten vollfunktionsfähigen Version von TrueCrypt, entschlüsseln könnte. es gibt also keinen logischen Grund, die Version 7.2 von TrueCrypt zu releasen.
  • stattdessen wird die Microsoft-Verschlüsselungslösung BitLocker empfohlen
  • der trueCrypt-Entwickler hat keinen genauen Grund genannt, warum er die Arbeit an dem projekt eingestellt hat

Meine Vermutung zu der ganzen Sachlage ist folgende:

  • bislang konnte der trueCrypt-Entwickler frei von irgendwelchen Einschränkungen an seinem TrueCrypt-Projekt arbeiten. Es ist unwahrscheinlich und auch bisher unbestätigt, ob es Sicherheitslücken oder hintertüren für beispieslweise Geheimdienste gibt. Wenn es diese Tatsächlich gibt, müsste dies im audit des TrueCrypt-quellcodes, der ja zurzeit immer noch läuft, herauskommen
  • der Entwickler bekam irgendwann von der NSA einen National Security Letter, der ihn dazu auffordert, eine Hintertür für den Geheimdienst einzubauen, da er ansonsten des Projekt einstellen muss
  • der Entwickler entschied sich dazu, das proejkt einzustellen. Damit übergibt er stillschweigend das projekt an die NSA
  • die NSA released eine Version von TrueCrypt, mit der man nur noch entschlüsseln kann und forciert die Änderung der Projekt-website, so dass von dieser Quelle nur noch die von der NSA akzeptierte Release heruntergeladen werden kann.
  • die NSA will die User dazu bringen, dass Sie ihre TrueCrypt-Verschlüsselungen nach Bitlocker migrieren, da Microsoft den Patriot Act unterzeichnet hat und daher eine entsprechende Hintertür in senie Lösungen implementiert hat.
  • die „Empfehlung“, man solle seine TrueCrypt-container nach Bitlocker umziehen, ist also reine bauernfängerei, um die bislang hintertürfreien TrueCrypt-Verschlüsselungen der Nutzer zu ener Variante mit Hintertür zu bewegen

Aus diesem Grund gibt es in diesem Post auch keine empfehlung und derzeit keine Tipps für die lösung Bitlocker. seien Sie desweiteren davor gefeit, dass es bei den Lösungen EFS, WinRar, 7Zip, xcrypt usw. ebenfalls solche Hintertüren für Geheimdienste gibt, obwohl ich Sie in diesem Post behandelt habe.

die zweite Große Debatte in diesem Zusammenhang ist die Debatte um sogenannte „Nachfolger“ von TrueCrypt. Viele neue Projekte brüsten sich damit, ein Nachfolger von TrueCrypt auf Basis dessen Quellcodes zu sein.

Das Problem bei der ganzen SAche ist wiederum die selbe: wer garantiert Ihnen denn, dass diese Projekte nicht auch eine Sicherietslücke für den Geheimdienst einbauen? Denn die Geheimdienste werden sehr schnella fu die Idee kommnen, auch diesen „Nachfolgern“ ebenfalls einen National Security Letter zu schicken.

Desweiteren ist es sehr wahrscheinlich, dass diese nachfolgeprojekte ebenfalls auf dem Quellcode ovn TrueCrypt basieren und daher unter Umständen die selbe Sicherheitslücke im Quelltext haben, die angeblich bei TrueCrypt bestehen soll. Warum also vertrauen Sie eher einem „Nachfolger“ einer Software basierend auf dem selben Quellcode, für die derzeit kein Audit in Auftrag gegeben wurde, als einer software, für die derzeit ein Audit durchgeführt wird? warum? es gibt keinen logischen Grund dafür, derzeit etwas anderes als TrueCrypt zu verwenden, weil bei den anderen Lösungen ebenfalls nicht erwiesen ist, dass sie sicher sind. Aslo warum nicht einfach weiter TrueCrypt in der letzten funktionalen Version 7.1a verwenden?

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren...

Kommentar verfassen

This site uses Akismet to reduce spam. Learn how your comment data is processed.